YFV是基于以太坊的一個DeFi項目,今天早些時候,YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞,可以任意重置用戶鎖定的YFV。
并表示,此次事件可能和不久前的『pool0』事件相關,勒索者極有可能是在『pool0』事件中未取回資金的『憤怒的農民』。
漏洞分析
OKEx將支持YFV置換為VALUE:據OKEx官方公告,YFV將按照1:1的比例置換為VALUE,OKEx將支持本次置換。因暫停提幣,將按照平臺快照數據為用戶先行置換,開放提幣后會再進行鏈上置換。置換期間,OKEx對于YFV幣幣、杠桿和永續合約交易的具體處理方案請點擊“原文鏈接”。[2020/10/28]
合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押,如下圖所示:
BBKX平臺已于今日9時上線YFV、YAMV2、CVP:據BBKX官方消息,平臺已于今日9時上線YFV/USDT、YAMV2/USDT、CVP/USDT幣對,并開放交易,幣種詳情請點擊原文鏈接。
BBKX是一家持續分紅的綜合型交易平臺,已獲得節點資本與鏈上基金聯合戰略投資。[2020/9/3]
此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證,要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示:
DeFi項目YFValue針對包括小玩家在內的所有用戶啟動流動性挖礦計劃:DeFi項目YFValue協議于本周啟動流動性挖礦計劃,致力于通過通貨膨脹率可鏈上投票、自動推薦(Referral )等獨特功能為包括小玩家在內的所有用戶提供流動性挖礦收益,用戶可直接質押穩定幣和其他加密貨幣。
YFV是該協議的治理代幣,YFV.Finance是DeFi 收益聚合器。YFV總供應量為2100萬枚,分配在11個池子中,具體分發時間會根據YFV農耕者(Farmer)的投票進行更改。另外,YFValue還引入了兩個基于彈性供應模型的新代幣,分別為vUSD和vETH。vUSD和vETH將根據市場具體情況擴大或減少供應量,旨在將價格固定為1 vUSD 等于1美元,1vETH等于1 ETH。[2020/8/23]
UnfrozenStakeTime如下圖所示:
綜上所述,惡意用戶可以向正常用戶抵押小額的資金,從而鎖定正常用戶的資金。
根據鏈上信息,我們找到了兩筆疑似攻擊的交易,如下所示:
0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9
0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db
其中一筆如下圖所示:
此兩筆交易都來自同一地址,且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。
總結
針對于本次事件,究其根本原因,還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。
根據成都鏈安在代碼審計方面的經驗,個別項目方在進行代碼審計時,未提供完整的項目相關資料,使得代碼審計無法發現一些業務漏洞,導致上線后損失慘重。
成都鏈安·安全實驗室在此提醒各項目方:安全是發展的基石,做好代碼審計是上線的前提條件。
區塊鏈被定義為“新技術基礎設施”,但在行業領軍者看來,其價值還遠遠不止技術。 8月20日,螞蟻集團副總裁、智能科技事業群總裁蔣國飛做客《尋找區塊鏈力量》對話節目.
1900/1/1 0:00:008月15日,BCA區塊鏈藝術聯合傳茂文化主辦的《加密藝術導論及創作》在線課程正式開啟,由南京航空航天大學區塊鏈產業研究中心教育主管宋婷擔任主講人的第二期課程《加密藝術的悲喜母題:開源運動、web.
1900/1/1 0:00:00日內比特幣進入高位震蕩,高點觸及11580小幅回調,價格波動范圍在百余點,多頭日內并未有明顯突破,短期震蕩行情預計還將延續.
1900/1/1 0:00:008月14日,2020全球區塊鏈創新發展大會在贛州召開。經濟學家朱嘉明教授以《區塊鏈和重建世界秩序》為題發表了主題演講.
1900/1/1 0:00:008月22日,“2020全球區塊鏈算力大會暨新基建礦業峰會”在成都市成華區開幕。會議由市新經濟委、市科技局、成華區政府指導,由成華區新經濟和科技局、成華區投促局、龍潭新經濟產業功能區管委會、巴比特.
1900/1/1 0:00:00近幾年數字化轉型一直是熱議話題。已經浙江省人大審議、近日正在公開征求意見的《浙江省數字經濟促進條例》從總則、數字基礎設施、數據資源、數字產業化、產業數字化、治理數字化、激勵措施、多元共治、法律責.
1900/1/1 0:00:00